立法會:保安局局長動議二讀《保護關鍵基礎設施(電腦系統)條例草案》發言全文
以下是保安局局長鄧炳強今日(十二月十一日)在立法會會議動議二讀《保護關鍵基礎設施(電腦系統)條例草案》(《條例草案》)的發言全文:
主席:
我動議二讀《保護關鍵基礎設施(電腦系統)條例草案》。
立法目的
關鍵基礎設施是維持社會正常運作和市民正常生活必須的設施。事實上,全球的關鍵基礎設施均有受到惡意網絡攻擊的風險,而保障關鍵基礎設施電腦系統安全的法規在其他司法管轄區亦非常普遍。
行政長官在二○二二年十月發表的《施政報告》中宣布,會立法提升關鍵基礎設施的網絡安全。《條例草案》旨在向被指定的「關鍵基礎設施營運者」施加法定要求,確保它們採取適當措施保護其電腦系統,減低因網絡攻擊導致必要服務被干擾或破壞的可能,從而維持香港社會的正常運作和市民的正常生活。
立法原則
受規管的「關鍵基礎設施營運者」都是對在香港持續提供必要服務或維持關鍵的社會和經濟活動屬必要的,大部分都是大機構,中小型企業及一般市民不受規管。
施加法定責任的目的是要保障對關鍵基礎設施核心功能至關重要的電腦系統安全,絕非針對個人資料或商業秘密,也與市民網上活動完全無關。
規管對象
《條例草案》訂明,只有被指定的「關鍵基礎設施營運者」及其被指定為「關鍵電腦系統」的電腦系統才會受規管。《條例草案》採取「機構為本」的方式,即以負責營運每個關鍵基礎設施的機構為一個單位,必須履行保障其電腦系統安全的責任。
由於政府內部已經有相關政策及指引,確保政府營運的必要服務的電腦系統安全,因此我們認為適宜沿用現有的方法去規管政府營運的必要服務,無需納入擬議條例。
法定責任
《條例草案》下的法定責任分三大類︰
第一類架構責任,包括營運者要向政府報告營運權的變更;設立電腦系統安全管理部門,並委任專責、有專業知識的主管等。
第二類預防責任,包括制定和實施電腦系統安全管理計劃,並定期進行風險評估、審核和演練。
至於第三類事故通報及應對責任,當有電腦系統安全事故發生時,營運者須在指定時間內向政府報告,同時自行採取應對措施,還原系統。政府在有需要時可提供適時協助,採取補救措施,控制問題和減低影響其他關鍵基礎設施的情況。
專責辦公室及指定當局
我們建議成立一個隸屬保安局的專責辦公室,執行條例下的工作。
由於部分必要服務行業已經受其法定行業監管機構的全面監管,我們建議指定個別行業機構為「指定當局」,負責監察其規管界別內的「關鍵基礎設施營運者」遵從我剛才所說的第一類責任(架構責任)和第二類責任(預防責任)。現階段,我們建議指定香港金融管理局監管銀行及金融服務相關的服務提供者,而通訊事務管理局則負責監管通訊及廣播相關的服務提供者。專責辦公室會掌握所有營運者的事故通報及應對情況,減低事故可能影響其他界別或造成廣泛服務延誤的可能。
罪行及刑罰
由於立法的原意並非旨在懲罰營運者,考慮到規管對「關鍵基礎設施營運者」的影響,以及確保條例有足夠的阻嚇力這兩方面之間取得平衡,刑罰方面我們建議只會以機構作為單位,違者可處最高罰款港幣50萬元至500萬元不等,個別罪行亦會就持續違法行為處以額外的每日罰款,並無監禁式刑罰。
雖然條例只建議向機構罰款,但若相關的違規行為涉及觸犯現有法例的刑事罪行,例如虛假陳述、行使虛假文書或其他詐騙相關罪行,涉事人員亦有機會要負上個人刑事責任。
主席,《條例草案》通過後,政府的目標是在一年內成立專責辦公室,以期讓擬議條例可於其後半年內正式生效,專責辦公室會繼續和持份者保持密切聯繫,因應不同關鍵基礎設施的界別內可能被指定為營運者的機構的情況,逐步分階段指定「關鍵基礎設施營運者」及其「關鍵電腦系統」。
我希望各位議員支持《條例草案》。
主席,我謹此陳辭。
(轉載自香港特別行政區政府新聞公報)